- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
15-ND攻击防御命令
本章节下载: 15-ND攻击防御命令 (312.31 KB)
目 录
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac configuration
1.1.3 display ipv6 nd source-mac statistics
1.1.5 ipv6 nd source-mac aging-time
1.1.6 ipv6 nd source-mac check-interval
1.1.7 ipv6 nd source-mac exclude-mac
1.1.8 ipv6 nd source-mac threshold
1.1.9 reset ipv6 nd source-mac
1.1.10 reset ipv6 nd source-mac statistics
1.2.1 display ipv6 nd attack-suppression configuration
1.2.2 display ipv6 nd attack-suppression per-interface
1.2.3 display ipv6 nd attack-suppression per-interface inteface
1.2.4 ipv6 nd attack-suppression check-interval
1.2.5 ipv6 nd attack-suppression enable per-interface
1.2.6 ipv6 nd attack-suppression suppression-time
1.2.7 ipv6 nd attack-suppression threshold
1.2.8 reset ipv6 nd attack-suppression per-interface
1.2.9 reset ipv6 nd attack-suppression per-interface statistics
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
1.4.1 snmp-agent trap enable nd
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
(独立运行模式)
display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ cpu cpu-number ] [ verbose ]
display ipv6 nd source-mac slot slot-number [ cpu cpu-number ] [ count | verbose ]
(IRF模式)
display ipv6 nd source-mac interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } chassis chassis-number slot slot-number [ cpu cpu-number ] [ verbose ]
display ipv6 nd source-mac chassis chassis-number slot slot-number [ cpu cpu-number ] [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
mac mac-address:显示指定源MAC对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:显示指定VLAN内检测到的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。指定interface interface-type interface-number时,表示虚拟接口包含的指定单板上的物理口。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。指定interface interface-type interface-number时,表示虚拟接口包含的指定单板上的物理口。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示检测到的源MAC地址固定的ND攻击检测表项的详细信息。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项的简要信息。
count:指定本参数后,只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示的是检测到的源MAC地址固定的ND攻击检测表项。
【使用指导】
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入slot参数。(独立运行模式)
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入chassis和slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入chassis和slot参数。(IRF模式)
虚拟接口支持二层聚合接口、三层聚合接口、三层聚合子接口。
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口Ten-GigabitEthernet3/1/1上检测到的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface ten-gigabitethernet 3/1/1
Attack detection mode:Slot-based
Source MAC VLAN ID Interface Aging time (sec) Packets dropped
23f3-1122-3344 4094 XGE3/1/1 10 84467
# 显示检测到的源MAC地址固定的ND攻击检测表项个数。(独立运行模式)
<Sysname> display ipv6 nd source-mac slot 3 count
Attack detection mode:Slot-based
Total source MAC-based ND attack detection entries: 1
# 显示接口Ten-GigabitEthernet3/1/1检测到的源MAC地址固定的ND攻击检测表项的详细信息。
<Sysname> display ipv6 nd source-mac interface ten-gigabitethernet 3/1/1 verbose
Attack detection mode:Slot-based
Source MAC: 0001-0001-0001
VLAN ID: 4094
Hardware status: Succeeded
Aging time: 10 seconds
Interface: Ten-GigabitEthernet3/1/1
Attack time: 2018/06/04 15:53:34
Packets dropped: 84467
表1-1 display ipv6 nd source-mac命令显示信息描述表
|
字段 |
描述 |
|
Attack detection mode |
源MAC地址固定的ND攻击检测模式,取值包括: · Interface-based:基于接口的源MAC地址固定的ND攻击检测模式 · Slot-based:基于slot的源MAC地址固定的ND攻击检测模式 |
|
Source MAC |
检测到攻击的源MAC地址 |
|
VLAN ID |
检测到攻击的VLAN ID |
|
Interface |
攻击来源的接口 |
|
Aging time |
源MAC地址固定的ND攻击检测功能的剩余老化时间,单位为秒 |
|
Packets dropped |
丢包总个数,如果是二层以太网接口,则不支持统计丢包总个数 |
|
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻击检测表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd source-mac
· reset ipv6 nd source-mac statistics
display ipv6 nd source-mac configuration命令用来显示源MAC地址固定的ND攻击检测功能的配置信息。
【命令】
(独立运行模式)
display ipv6 nd source-mac configuration [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ipv6 nd source-mac configuration [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板上的源MAC地址固定的ND攻击检测功能的配置信息。slot-number为单板所在的槽位号。如果不指定本参数,则显示主用主控板上的源MAC地址固定的ND攻击检测功能的配置信息。(独立运行模式)
chassis chassis-number slot slot-number:指定单板上的源MAC地址固定的ND攻击检测功能的配置信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则显示主用主控板上的源MAC地址固定的ND攻击检测功能的配置信息。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示源MAC固定的ND攻击检测功能的配置信息。(独立运行模式)
<Sysname> display ipv6 nd source-mac configuration slot 3
IPv6 ND source-mac is enabled.
Attack detection mode:Slot-based
Mode: Filter Check interval: 5 seconds
Threshold: 20 Aging time: 300 seconds
表1-2 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
Attack detection mode |
源MAC地址固定的ND攻击检测模式,取值包括: · Interface-based:基于接口的源MAC地址固定的ND攻击检测模式 · Slot-based:基于slot的源MAC地址固定的ND攻击检测模式 |
|
IPv6 ND source-mac is enabled. |
源MAC地址固定的ND攻击检测功能处于开启状态 |
|
IPv6 ND source-mac is disabled. |
源MAC地址固定的ND攻击检测功能处于关闭状态 |
|
Mode |
源MAC地址固定的ND攻击检测模式,取值包括: · Filter:过滤模式 · Moniter:监控模式 |
|
Check interval |
源MAC地址固定的ND攻击检测周期,单位为秒 |
|
Threshold |
源MAC地址固定的ND攻击检测的阈值 |
|
Aging time |
源MAC地址固定的ND攻击检测表项的老化时间,单位为秒 |
【相关命令】
· ipv6 nd source-mac
· ipv6 nd source-mac aging-time
· ipv6 nd source-mac check-interval
· ipv6 nd source-mac exclude-mac
· ipv6 nd source-mac threshold
display ipv6 nd source-mac statistics命令用来显示ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
display ipv6 nd source-mac statistics slot slot-number [ cpu cpu-number ]
(IRF模式)
display ipv6 nd source-mac statistics chassis chassis-number slot slot-number [ cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示设备上ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。(独立运行模式)
<Sysname> display ipv6 nd source-mac statistics slot 3
Dropped ND messages: 100
表1-3 display ipv6 nd source-mac statistics命令显示信息描述表
|
字段 |
描述 |
|
Dropped ND messages |
被丢弃的ND攻击报文数 |
【相关命令】
· reset ipv6 nd source-mac statistics
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filter:配置检查方式为过滤模式。
monitor:配置检查方式为监控模式。
【使用指导】
建议在网关设备上开启本功能。
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在一个检测周期内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,在等待设置的老化时间后,如果老化时间内丢弃的ND报文个数大于或等于一个特定值,则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
根据ND报文的源MAC地址对上送CPU的ND报文进行统计时,设备支持如下两种统计方式:
· 基于接口的统计方式:每个接口单独进行报文统计计数。在一个检测周期内,如果某接口收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击。
· 基于slot的统计方式:slot上所有接口的报文进行统一计数。在一个检测周期内,如果某slot收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac aging-time命令用来配置源MAC地址固定的ND报文攻击检测表项的老化时间。
undo ipv6 nd source-mac aging-time命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac aging-time time
undo ipv6 nd source-mac aging-time
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的老化时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:ND报文攻击检测表项的老化时间,取值范围为60~6000,单位为秒。
【举例】
# 配置源MAC地址固定的ND报文攻击检测表项的老化时间为100秒。
<Sysname> system-view
[Sysname] ipv6 nd source-mac aging-time 100
ipv6 nd source-mac check-interval命令用来设置源MAC地址固定的ND攻击检测功能的检测周期。
undo ipv6 nd source-mac check-interval命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac check-interval interval
undo ipv6 nd source-mac check-interval
【缺省情况】
源MAC地址固定的ND攻击检测功能的检测周期为5秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:检测周期,取值范围为5~60,单位为秒。
【使用指导】
源MAC地址固定的ND攻击检测功能根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在本命令指定的检测周期内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过通过ipv6 nd source-mac threshold命令配置的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。
当网络环境安全性较差时,建议配置较小的检测周期,便于检测到源MAC地址固定的ND攻击。否则,可以配置较大的检测周期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置源MAC地址固定的ND攻击检测功能的检测周期为30秒。
<Sysname> system-view
[Sysname] ipv6 nd source-mac check-interval 30
【相关命令】
· ipv6 nd source-mac threshold
ipv6 nd source-mac exclude-mac命令用来配置保护MAC地址。
undo ipv6 nd source-mac exclude-mac命令用来删除配置的保护MAC地址。
【命令】
ipv6 nd source-mac exclude-mac mac-address&<1-10>
undo ipv6 nd source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情况】
未配置任何保护MAC地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address&<1-10>:MAC地址列表,其中,mac-address表示配置的保护MAC地址,格式为H-H-H。&<1-10>表示前面的参数最多可以输入10次。
【使用指导】
当配置了保护MAC地址之后,即使检测认为这些MAC地址存在攻击,也不会过滤这些MAC地址发送的ND报文。
如果undo命令中未指定MAC地址,则删除所有已配置的保护MAC地址。
【举例】
# 配置源MAC地址固定的ND报文攻击检查的保护MAC地址为001e-1200-0213。
<Sysname> system-view
[Sysname] ipv6 nd source-mac exclude-mac 001e-1200-0213
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:一个检测周期内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【使用指导】
在通过ipv6 nd source-mac check-interval命令配置的一个检测周期内,如果某个接口收到的源MAC地址固定的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
【相关命令】
· ipv6 nd source-mac check-interval
reset ipv6 nd source-mac命令用来清除源MAC地址固定的ND攻击表项。
【命令】
(独立运行模式)
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测表项。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则表示清除设备上所有源MAC地址固定的ND攻击检测表项。
【举例】
# 清除设备上所有的源MAC地址固定的ND攻击检测表项。
<Sysname> reset ipv6 nd source-mac
【相关命令】
· display ipv6 nd source-mac
reset ipv6 nd source-mac statistics命令用来清除ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
reset ipv6 nd source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 nd source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。vlan-id的取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。
【举例】
# 清除设备上所有源MAC地址固定的ND攻击检测丢弃ND攻击报文的计数统计信息。
<Sysname> reset ipv6 nd source-mac statistics
【相关命令】
· display ipv6 nd source-mac
· display ipv6 nd source-mac statistics
display ipv6 nd attack-suppression configuration命令用来显示ND接口攻击抑制功能的配置信息。
【命令】
display ipv6 nd attack-suppression configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示ND接口攻击抑制功能的配置信息。
<Sysname> display ipv6 nd attack-suppression configuration
IPv6 ND attack-suppression per-interface is enabled.
Check interval: 5 seconds Suppression time: 300 seconds
Threshold: 3000
表1-4 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
IPv6 ND attack-suppression per-interface is enabled. |
ND接口攻击抑制功能处于开启状态 |
|
IPv6 ND attack-suppression per-interface is disabled. |
ND接口攻击抑制功能处于关闭状态 |
|
Check interval |
ND接口攻击抑制功能的检测周期,单位为秒 |
|
Suppression time |
ND接口攻击抑制功能的抑制时间,单位为秒 |
|
Threshold |
ND接口攻击抑制功能的检测阈值 |
【相关命令】
· ipv6 nd attack-suppression check-interval
· ipv6 nd attack-suppression enable per-interface
· ipv6 nd attack-suppression suppression-time
display ipv6 nd attack-suppression per-interface命令用来显示ND接口攻击抑制表项。
【命令】
(独立运行模式)
display ipv6 nd attack-suppression per-interface slot slot-number [ cpu cpu-number ] [ count | verbose ]
(IRF模式)
display ipv6 nd attack-suppression per-interface chassis chassis-number slot slot-number [ cpu cpu-number ] [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
verbose:显示ND接口攻击抑制检测表项的详细信息。如果未指定本参数,则显示ND接口攻击抑制检测表项的简要信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
count:指定本参数后,只显示ND接口攻击抑制表项个数。如果未指定本参数,则显示的是ND接口攻击抑制表项。
【使用指导】
如果未指定任何参数,则显示设备上所有的ND接口攻击抑制表项的简要信息。
【举例】
# 显示指定slot上的ND接口攻击抑制表项。(独立运行模式)
<Sysname> display ipv6 nd attack-suppression per-interface slot 3
Interface Suppression time (second) Packets dropped
XGE3/1/1 200 84467
XGE3/1/2 140 38293
# 显示指定slot上的ND接口攻击抑制表项个数。(独立运行模式)
<Sysname> display ipv6 nd attack-suppression per-interface slot 3 count
Total ND attack suppression entries: 2
# 显示指定slot上的ND接口攻击抑制表项的详细信息。(独立运行模式)
<Sysname> display ipv6 nd attack-suppression per-interface slot 3 verbose
Interface: Ten-GigabitEthernet3/1/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2018/06/04 15:53:34
Packets dropped: 84467
Interface: Ten-GigabitEthernet3/1/2
Suppression time: 140 seconds
Hardware status: Succeeded
Attack time: 2018/06/04 14:53:34
Packets dropped: 38293
表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Total ND attack suppression entries |
ND接口攻击抑制表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
display ipv6 nd attack-suppression per-interface interface命令用来显示指定接口的ND接口攻击抑制表项。
【命令】
(独立运行模式)
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
(IRF模式)
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface-type interface-number:指定接口的接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定接口所属的单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定接口所属的单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示指定接口的ND接口攻击抑制表项的详细信息。如果未指定本参数,则显示的是ND接口攻击抑制表项的简要信息。
【举例】
# 显示接口Ten-GigabitEthernet3/1/1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface interface ten-gigabitethernet 3/1/1
Interface Suppression time (second) Packets dropped
XGE3/1/1 200 84467
# 显示接口Ten-GigabitEthernet3/1/1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface ten-gigabitethernet 3/1/1 verbose
Interface: Ten-GigabitEthernet3/1/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2018/06/04 15:53:34
Packets dropped: 84467
表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的起始时间(显示方式如2018/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
ipv6 nd attack-suppression check-interval命令用来设置ND接口攻击抑制功能的检测周期。
undo ipv6 nd attack-suppression check-interval命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression check-interval interval
undo ipv6 nd attack-suppression check-interval
【缺省情况】
ND接口攻击抑制功能的检测周期为5秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:ND接口攻击抑制功能的检测周期,取值范围为5~60,单位为秒。
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。在设置的探测周期内,在只统计设备的三层接口上收到的ND请求报文,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。
本功能对VLAN接口和VSI虚接口不生效。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置ND接口攻击抑制功能的检测周期为30秒。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression check-interval 30
【相关命令】
· display ipv6 nd attack-suppression configuration
· ipv6 nd attack-suppression enable per-interface
ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。
undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情况】
ND接口攻击抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在通过ipv6 nd attack-suppression check-interval命令配置的检测周期内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间清零之前设备会限制被攻击的接口每秒钟接收ND报文的速率,防止ND攻击报文持续冲击CPU。以128个字节的ND报文为例,则被攻击的接口每秒钟只能接收100个ND报文。ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内收到的ND报文个数大于或等于一个特定值,则设备将ND接口攻击抑制表项抑制时间会恢复并重新开始计时;如果小于该特定值,则设备删除该ND接口攻击抑制表项。
本功能对VLAN接口和VSI虚接口不生效。
建议在网关设备上开启本功能。
【举例】
# 开启ND接口攻击抑制功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression check-interval
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression suppression-time命令用来设置ND接口攻击抑制功能的抑制时间。
undo ipv6 nd attack-suppression suppression-time命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression suppression-time time
undo ipv6 nd attack-suppression suppression-time
【缺省情况】
ND接口攻击抑制功能的抑制时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:ND接口攻击抑制功能的抑制时间,取值范围为60~6000,单位为秒。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
【举例】
# 设置ND接口攻击抑制功能的抑制时间为60秒。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression suppresion-time 60
【相关命令】
· display ipv6 nd attack-suppression configuration
· ipv6 nd attack-suppression enable per-interface
ipv6 nd attack-suppression threshold命令用来配置ND接口攻击抑制阈值。
undo ipv6 nd attack-suppression threshold命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression threshold threshold-value
undo ipv6 nd attack-suppression threshold
【缺省情况】
ND接口攻击抑制阈值为1000。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:ND接口攻击抑制阈值,即一个检测周期内可接收ND请求报文的个数,取值范围为1~5000。
【使用指导】
在通过ipv6 nd attack-suppression check-interval命令配置的一个检测周期内,如果某个接口收到的ND请求报文个数超过阈值,则认为该接口受到ND报文攻击。
【举例】
# 配置ND接口攻击抑制阈值为500,即当某个接口上在一个检测周期内收到的ND请求报文个数超过500个,则认为该接口受到ND报文攻击。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression threshold 500
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression check-interval
· ipv6 nd attack-suppression enable per-interface
reset ipv6 nd attack-suppression per-interface命令用来清除ND接口攻击抑制表项。
【命令】
(独立运行模式)
reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上的ND接口攻击抑制表项。interface-type interface-number表示接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
如果未指定任何参数,则清除设备上所有的ND接口攻击抑制表项。
【举例】
# 清除所有的ND接口攻击抑制表项。
<Sysname> reset ipv6 nd attack-interface per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
reset ipv6 nd attack-suppression per-interface statistics命令用来清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口上ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。interface-type interface-number表示接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
执行本命令后,display ipv6 nd attack-suppression per-interface命令显示信息中的Packets dropped信息会被清空。
如果未指定任何参数,则清除设备上所有的ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【举例】
# 清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
<Sysname> reset ipv6 nd attack-interface per-interface statistics
【相关命令】
· display ipv6 nd attack-suppression per-interface
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
snmp-agent trap enable nd命令用来开启ND模块的告警功能。
undo snmp-agent trap enable nd命令用来关闭ND模块的告警功能。
【命令】
snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | user-ip-conflict ] *
undo snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | user-ip-conflict ] *
【缺省情况】
ND模块的告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
entry-limit:开启ND表项达到最大个数的告警功能。
local-conflict:开启ND模块终端与本机IPv6地址冲突的告警功能。
nd-miss:开启ND Miss消息和ND报文发送限速的告警功能。
user-ip-conflict:开启ND模块终端用户间IPv6地址冲突的告警功能。
【使用指导】
用户可根据业务需求开启指定功能的ND模块的告警:
· 开启了ND表项达到最大个数的告警功能后,如果当前ND表项的数量超过了告警阈值,设备会将当前ND表项的数目作为告警信息发送到设备的SNMP模块。
· 开启了ND模块终端与本机冲突的告警功能后,设备会将冲突报文的发送端IPv6地址和MAC地址、目标IPv6地址和MAC地址等信息作为告警信息发送设备的SNMP模块。
· 开启了ND Miss消息和ND报文发送限速的告警功能后,如果设备每秒发送的ND Miss消息或ND报文的个数超过了设备定制的阈值,设备会将超速峰值作为告警信息发送到设备的SNMP模块。
· 开启了ND模块终端用户间IPv6地址冲突的告警功能后,设备会将冲突报文的发送端IPv6地址和MAC地址、发生冲突的本地表项的MAC地址等信息作为告警信息发送到设备的SNMP模块。
可以通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启ND模块终端与本机IPv6地址冲突的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable nd local-conflict
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
